UserGate LogAnalyzer. 12 лайфхаков в помощь ИБ-специалисту для настройки систем мониторинга безопасности
Изображение: usergate
Современный ландшафт киберугроз настолько разнообразен и динамичен, что использование одних лишь базовых средств защиты уже не является достаточным шагом к построению защищенной инфраструктуры. Немаловажным является способность бизнеса анализировать данные, находить среди них значимые события, выявлять инциденты и расследовать их.
Продукт UserGate Log Analyzer (LogAn) сочетает в себе функционал SIEM (Security Information and Event Management) и IRP (Incident Response Platform), что предоставляет возможности для сбора логов и событий, поиска инцидентов и реагирования на них.
UserGate Log Analyzer является комплексным решением для анализа данных. Система агрегирует данные от различных устройств, осуществляет мониторинг событий и создает отчеты. LogAn собирает данные со всех продуктов экосистемы безопасности UserGate SUMMA и со сторонних устройств.
SIEM – инструмент сложный. И без должного подхода к классификации знаний ощутимую пользу не даст. Однако набор несложных рекомендаций позволит вам начать использовать LogAn который тоже относится к классу SIEM, используя его эффективно, с первых же дней.
Теперь, помимо сбора информации, корреляции событий и выявления инцидентов в новом классе решений, эти инциденты можно еще и расследовать, формировать отчеты и отправлять «куда надо».
Однако для выявления инцидентов нужны правила корреляции, которые необходимо написать, а также нужно хорошо знать функционал UserGate Log Analyzer как SIEM-решения, чтобы пользоваться им максимально эффективно. Предлагаем вам посмотреть на наши советы и помнить, что для качественной защиты всё же нужна детальная информация из внешних источников!
Лайфхак №1: сразу настроить библиотеку «Внешние сервисы обогащений».
Дополнительные сервисы позволят получать более детальную информацию об адресах из внешних источников.
Библиотеку можно использовать в окне аналитики для проверки на внешних сервисах адреса из лога веб-приложений. Но! Сами по себе данные, собранные с инфраструктуры, это, конечно, здорово и очень полезно, но гораздо больше интересной информации можно выудить, если мы добавим к существующим данные, полученные от экспертов мира ИБ.
Например, на скриншоте (см. выше скрин №1) сам по себе IP-адрес в голом виде, от которого или, наоборот, к которому были обращения с нашей инфраструктуры, ничего не даст. Но с помощью механизма обогащения мы можем узнать, «светился» ли айпишник среди злоумышленников, является ли он для нас скомпрометированным, или добавить любую другую полезную информацию, как показано на скриншоте.
Лайфхак №2: в разделе «Аналитика», в окне поиска, использовать ключевое слово group by.
Это нужно для быстрой оценки количества запросов по определенному параметру. Можно быстро оценить, какие устройства и приложения работают в сети (экспресс asset management), какие сайты наиболее/наименее популярны.
Предлагаем оценить, какие устройства и приложения работают в сети, какие сайты, «урлы» и прочее наиболее популярны. Это позволит достаточно быстро составить понимание об основных активах в сети.
Этот лайфхак полезен при отсутствии у вас специальных решений asset-менеджмента.
Например, на скриншоте при группировке по юзер-агентам видно достаточно большое количество запросов к веб-клиенту blizzard.
А значит, что кто-то, вероятно, совмещает работу с компьютерными играми и это уже повод для расследования.
Лайфхак №3: в разделе «Аналитика» использовать вкладку «Процессы конечных устройств».
Эта информация может помочь разобраться в цепочке вызова процесса и параметрах запуска. Также она показывает полезную информацию о файле, который запускался (Наличие подписи, создатель файла, хэш файла — можно проверить на virustotal).
Важно! Обязательно изучайте процессы, которые происходят на конечных устройствах! Эта информация позволяет разобраться в цепочке вызова процессов и параметров запуска, а также показывает полезную информацию о файле, который запускался. Это позволяет обнаружить потенциально вредоносную активность, которая разворачивается на каждом конкретном устройстве и скрыта от глаз безопасников.
На скриншоте мы можем пронаблюдать, как это происходит.
Лайфхак №4: используйте экспертизу продуктов (например, антивирусы, NGFW).
Создавайте правила для генерации события на срабатывания событий, которые оконечное устройство считает опасным (например, события NGFW, антивируса и т.п.). Примеры событий, которые могут требовать внимания:
- Использование инструментов сокрытия трафика (TOR, VPN сервисы, туннели). Часто эти сети используются для эксфильтрации данных из закрытого сегмента
Лайфхак №5: установите простые правила для детектирования к этим доменным именам:
| .onion, .i2p, .loki, .bit, .eth, .888, .bitcoin, .coin, .crypto, .dao, .nft, .wallet, .x, .zil, .bazar, .coin, .emc, .lib, .bbs, .chan, .dyn, .free, .fur, .geek, .glue, .gopher, .indy, .libre, .neo, .null, .o, .oss, .oz, .parody, .pirate, .ku, .te, .ti, .uu. |
Стоит насторожиться при обращениях к урлам, которые находятся на приведенных выше дешевых доменах.
Их легко купить анонимно, поэтому они часто используются злоумышленниками с небольшим бюджетом. Обращение к таким урлам из вашей сети будет свидетельствовать о потенциальном инциденте.
Здесь приведен самый базовый список, вообще их больше. Но начать предлагаем с них. А дальше – следите и изучайте.
Лайфхак №6: Создать правило (или использовать ручной поиск) для отслеживания загружаемых файлов c потенциально небезопасным содержимым.
Речь про:
mime-тип ‘application/octet-stream’ (exe, zip, 7z, rar, bat, ps1, vbs, sct, scr, iso, hta, vbe, js, cmd, xlsx, rtf, img).
Можно отфильтровать доверенные источники. Через group by можно оценить список URL, откуда были скачаны потенциально небезопасные файлы.
Лайфхак №7: Простым анализом в логе веб-доступа можно оценить попытки:
— брутфорсов (Status Code 401);
— загрузки данных на сторонние ресурсы (HTTP Method POST);
— использование не типичных для компании UserAgent, оценить объем переданных данных.
Кстати, в поиске можно использовать операторы сравнения.
Лайфхак №8: На правила, которые требуют детального изучения, лучше сразу создавать инцидент и дальнейшую работу проводить в его рамках.
Можно создавать инциденты на интересные сработки правил для того, чтобы провести детальное расследование и принять решение.
Лайфхак №9: Берите готовые правила в SIGMA-подобном формате и загружайте через интерфейс.
Используйте SIGMA-правила, доступные из разных комьюнити. Например, существуют сообщества, которые пишут правила для не брендированных SIEM-систем. Есть SIGMA-правила, которые унифицировано описывают правила для SIEM-систем и это такой общий банк правил – best practices, который можно реализовать.
Грубо говоря, если вы не знаете, какое правило SIEM вам нужно реализовать, открываете SIGMA-правила и на своей SIEM-системе его реализуете.
В UserGate LogAnalyzer эти правила можно импортировать.
Лайфхак №10: Для повышения информативности и эффективности LogAn как SIEM-системы, на рабочих станциях нужно настраивать расширенное логирование:
— Установить и настроить sysmon
— Настроить расширенное логирование ОС, руководствуясь лучшими практиками
— Для эффективной работы с логом веб-приложений на NGFW должна быть включена расшифровка трафика (Decrypt).
Лайфхак №11: Настроить под себя и использовать дашборды.
Они позволят оперативно отслеживать обстановку. Из них можно переходить к нужным разделам в один клик. Вы можете настраивать их, как удобно.
Лайфхак №12: Использовать простые правила, направленные на поиск аномалии.
Это значит ресёрч на поиск аномалий в вашей организации – нехарактерные соединения, сетевые утилиты. И вообще работа с SIEM – это постоянный творческий процесс. Кстати, покупать SIEM без приобретения базовых средств защиты – например NGFW и системы обнаружения вторжений – это бесполезная трата, потому что без этих базовых средств SIEM не наберет достаточной фактуры данных, чтобы выполнить свою прямую работу по аналитике. А еще отчет SIEM без средств защиты не позволит вам настроить защиту для неповторения одних и тех же инцидентов в будущем.
Напомню про суть нашей работы – она, коллеги, в самой связанности компонентов экосистемы безопасности, в непрерывном процессе их взаимодействия.
Выводы.
Путем выполнения несложных базовых действий можно научить SIEM отлавливать большое количество инцидентов практически с первого дня использования. Однако не стоит забывать, что работа с SIEM это непрерывный процесс, который состоит из изучения отчетов, анализа, корректировки правил, добавления новых – и далее по кругу.
Обнаруживать атаки – это сложно, но важно. И для того чтобы задетектировать атаку, как правило, необходимо проанализировать цепочку событий – каждое из звеньев которой по отдельности может не представлять опасности, но в совокупности сигнализирует о наличии инцидента.
Например, самое простое – введение пользователем неправильного пароля. Если это единичный случай, вряд ли он несет в себе опасность. Но если такие попытки регулярны и при этом источником является не типичный IP-адрес или юзер-агент, то это уже может стать потенциальным инцидентом.
Так что на SIEM надейся, а сам не плошай!
Автор: Иван Чернов, менеджер по развитию бизнеса UserGate
